Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:aai:eduid:switch [2019/12/05 11:57] Wolfgang Pempede:aai:eduid:switch [2019/12/05 17:03] Wolfgang Pempe
Zeile 17: Zeile 17:
   * Authentisierung sowohl über edu-ID Credentials *als auch* Einrichtungs-Credentials möglich?   * Authentisierung sowohl über edu-ID Credentials *als auch* Einrichtungs-Credentials möglich?
     * Grundsätzlich möglich, aber es wird abgeraten, da dadurch Nutzer sich entscheiden muss und Workflow soll nicht mit Entscheidungen des Benutzers belastet werden. In Fällen, in denen die Anmeldung mit beiden Credentials sinnvoll ist, ist das auch möglich.     * Grundsätzlich möglich, aber es wird abgeraten, da dadurch Nutzer sich entscheiden muss und Workflow soll nicht mit Entscheidungen des Benutzers belastet werden. In Fällen, in denen die Anmeldung mit beiden Credentials sinnvoll ist, ist das auch möglich.
-    * Nutzer sollen immer wissen, was sie eingeben müssen (lokal / eduID). +    * Nutzer sollen immer wissen, was sie eingeben müssen (lokal / edu-ID). 
-    * Lokales Konto wird weiterhin bestehen bleiben, zB um auf lokale Ressourcen zuzugreifen; Auflagen durch externe Stellen, wie die Konten auszusehen haben. Lokale Dienste, die per Shibboleth angeschlossen sind, gibt es in der Schweiz üblicherweise nicht. AAI Dienste sind hauptsächlich für kollaboratives Arbeiten gedacht. +    * Lokales Konto wird weiterhin bestehen bleiben, z.B. um auf lokale Ressourcen zuzugreifen; Auflagen durch externe Stellen, wie die Konten auszusehen haben. Lokale Dienste, die per Shibboleth angeschlossen sind, gibt es in der Schweiz üblicherweise nicht. AAI Dienste sind hauptsächlich für kollaboratives Arbeiten gedacht. 
-      * Alle über SAML erschlossenen Ressourcen gehen über eduID; bei eduID Login Möglichkeit des Co-Branding +      * Alle über SAML erschlossenen Ressourcen gehen über edu-ID; bei edu-ID Login Möglichkeit des Co-Branding 
-      * Viele Universitäten möchten lokale Konten loswerden und alle Dienste auf eduID umstellen (?)+      * Viele Universitäten möchten lokale Konten loswerden und alle Dienste auf edu-ID umstellen (?)
       * eduroam: Wenn Login bei edu-ID mit Affiliation erfolgt und die Hochschule eduroam hat, dann wird gleich ein Zertifikat und die eduroam-Profile zum Download zur Verfügung gestellt.       * eduroam: Wenn Login bei edu-ID mit Affiliation erfolgt und die Hochschule eduroam hat, dann wird gleich ein Zertifikat und die eduroam-Profile zum Download zur Verfügung gestellt.
       * In PC Pools lokales Konto der Hochschule, nicht über eduID.       * In PC Pools lokales Konto der Hochschule, nicht über eduID.
       * Lokales Kerberos-Ticket kann auch zur Authentisierung an eduID benutzt werden.       * Lokales Kerberos-Ticket kann auch zur Authentisierung an eduID benutzt werden.
   * Welche Kernattribute?   * Welche Kernattribute?
-    * Attributspezifikation der AAI wird weiter verwendet, nichts Neues dazu erfunden außer Qualitätsattribute speziell für die eduID ((un-)verifizierte eduID): https://www.switch.ch/edu-id/services/attributes/+    * Attributspezifikation der AAI wird weiter verwendet, nichts Neues dazu erfunden außer Qualitätsattribute speziell für die edu-ID ((un-)verifizierte eduID): https://www.switch.ch/edu-id/services/attributes/
     * Attribute werden mit Nutzerzustimmung aus den Einrichtungen übernommen (Name, Mail etc.).     * Attribute werden mit Nutzerzustimmung aus den Einrichtungen übernommen (Name, Mail etc.).
-    * AttributeQuery nachts, um Affiliations aktuell zu halten. Welche Werte in welchem Zeitraum vorhanden waren, wird protokolliert. +    * Attribute Query nachts, um Affiliations aktuell zu halten. Welche Werte in welchem Zeitraum vorhanden waren, wird protokolliert. 
-    * Bei SwitchAAI haben sie als Affiliation nur "member@switch" drin.+    * Bei SWITCHaai haben sie als Affiliation nur "member@switch" drin.
     * Neues Attributmodell ("extended model"), Werte aus mehreren affiliations der Nutzer zusammengefasst (mehrere E-Mail-Adressen, mehrere affiliations, ...); insbesondere für nutzerzentrische Dienste (zB Bibliotheksdienste): https://www.switch.ch/edu-id/services/attributes/extended-model/     * Neues Attributmodell ("extended model"), Werte aus mehreren affiliations der Nutzer zusammengefasst (mehrere E-Mail-Adressen, mehrere affiliations, ...); insbesondere für nutzerzentrische Dienste (zB Bibliotheksdienste): https://www.switch.ch/edu-id/services/attributes/extended-model/
-    * Required Attribute für Erstellung einer eduID+    * Required Attribute für Erstellung einer edu-ID
-      * EMail-Adresse (als Username)+      * E-Mail-Adresse (als Username)
       * Name       * Name
       * Vorname       * Vorname
Zeile 43: Zeile 43:
     * Wohnortnachweis über Post an Postanschrift (implementiert)     * Wohnortnachweis über Post an Postanschrift (implementiert)
   * Verfahren zur Dublettenerkennung?   * Verfahren zur Dublettenerkennung?
-    * Cookie im Browser zur Wiedererkennung, ob mit diesem Browswer bereits eine eduID gesetzt wurde+    * Cookie im Browser zur Wiedererkennung, ob mit diesem Browswer bereits eine edu-ID gesetzt wurde
     * Nutzungsbedingungen schließen mehrere Konten aus.     * Nutzungsbedingungen schließen mehrere Konten aus.
     * Viele eineindeutige Attribute (E-Mail-Adresse, Handynummer)     * Viele eineindeutige Attribute (E-Mail-Adresse, Handynummer)
Zeile 54: Zeile 54:
     * ORCID: gleichzeitiges Login zur Attributübertragung     * ORCID: gleichzeitiges Login zur Attributübertragung
     * Diskutiert auch mit SwissID (bietet Dienst wie Verimi in Deutschland)      * Diskutiert auch mit SwissID (bietet Dienst wie Verimi in Deutschland) 
-    * Föderation für Primar- und Sekundarstufe der Schulen, angedacht ist überföderative Zusammenarbeit; Identifikator wie OrcIDzB Zugehörigkeit zu einer Schule um Weiterbildungsangebote zu besuchen+    * Föderation für Primar- und Sekundarstufe der Schulen, angedacht ist überföderative Zusammenarbeit; Identifikator wie ORCIDz.B. Zugehörigkeit zu einer Schule um Weiterbildungsangebote zu besuchen
   * Validierung ORCID?   * Validierung ORCID?
     * Verfahren von ORCID bereitgestellt (basiert auf OAuth2)      * Verfahren von ORCID bereitgestellt (basiert auf OAuth2) 
Zeile 67: Zeile 67:
     * Ab dann keine Möglichkeit mehr für Nutzer, selbst eine Affiliation anzulegen, sondern wird auf Seite der Heimatorganisation weitergeleitet     * Ab dann keine Möglichkeit mehr für Nutzer, selbst eine Affiliation anzulegen, sondern wird auf Seite der Heimatorganisation weitergeleitet
   * Unterscheidung bei SWITCH zwischen bestehenden Nutzern, die bereits lokales Konto haben, und neuen Konten; jeweils verschiedene Prozesse   * Unterscheidung bei SWITCH zwischen bestehenden Nutzern, die bereits lokales Konto haben, und neuen Konten; jeweils verschiedene Prozesse
-    * Neue Nutzer: Legen sich eine EduID an und loggen sich danach auf einer speziellen URL der Heimateinrichtung ein, wo dann die EduID abgespeichert wird. +    * Neue Nutzer: Legen sich eine edu-ID an und loggen sich danach auf einer speziellen URL der Heimateinrichtung ein, wo dann die edu-ID abgespeichert wird. 
-    * Bestehende Nutzer: "Macht Euch eine eduID, verlinkt sie und gut"+    * Bestehende Nutzer: "Macht Euch eine edu-ID, verlinkt sie und gut"
   * Granularität von Affiliations? Affiliation <-> Rolle, Funktionsweise Affiliation-Chooser...   * Granularität von Affiliations? Affiliation <-> Rolle, Funktionsweise Affiliation-Chooser...
     * zwei Affiliations in einer Einrichtung, z.B. Studi und Mitarbeiter*in     * zwei Affiliations in einer Einrichtung, z.B. Studi und Mitarbeiter*in
Zeile 75: Zeile 75:
     * Ist möglich     * Ist möglich
     * Klassisches Modell: Nur eine Rolle übermittelt, wenn mehrere vorhanden, wird Nutzer gefragt, welche übermittelt werden soll     * Klassisches Modell: Nur eine Rolle übermittelt, wenn mehrere vorhanden, wird Nutzer gefragt, welche übermittelt werden soll
-    * Extended Model: Mehrere Mail-Adressen und Affiliations werden an Dienst übermittelt und dort muss entchieden werden, was damit angefangen wird+    * Extended Model: Mehrere Mail-Adressen und Affiliations werden an Dienst übermittelt und dort muss entschieden werden, was damit angefangen wird
       * Bsp eduroam: Alle affiliations werden übermittelt, ist eine dabei, die zur Nutzung berechtigt?       * Bsp eduroam: Alle affiliations werden übermittelt, ist eine dabei, die zur Nutzung berechtigt?
-    * Welches Modell verwendet wird, wird in der ResourceRegistry festgelegt. Das ist bislang nur innerhalb der Switch-AAI möglich, da proprietär. --> DFN-AAI: zukünftig Entity Category(?)+    * Welches Modell verwendet wird, wird in der Resource Registry festgelegt. Das ist bislang nur innerhalb der SWITCHaai möglich, da proprietär. --> DFN-AAI: zukünftig Entity Category(?)
       * Bilaterales Abkommen mit der DFN-AAI ist sehr willkommen ;)       * Bilaterales Abkommen mit der DFN-AAI ist sehr willkommen ;)
   * Einsatz der edu-ID im Ausland   * Einsatz der edu-ID im Ausland
     * Nicht so sehr, Deutschland einziges Land neben der Schweiz, das sich in der Tiefe mit dem Thema beschäftigt     * Nicht so sehr, Deutschland einziges Land neben der Schweiz, das sich in der Tiefe mit dem Thema beschäftigt
     * Holland und Schweden haben auch Ansätze     * Holland und Schweden haben auch Ansätze
-  * Nutzung eduroam mit Swiss eduID+  * Nutzung eduroam mit Swiss edu-ID
     * Lösung, bei der anhand der übertragenen Affiliations entschieden wird, ob Berechtigung existiert, dann wird Zertifikat plus Profil erstellt (Rückgriff und Weiterentwicklung von GÉANT-Software)      * Lösung, bei der anhand der übertragenen Affiliations entschieden wird, ob Berechtigung existiert, dann wird Zertifikat plus Profil erstellt (Rückgriff und Weiterentwicklung von GÉANT-Software) 
-  * Integration von Swiss eduID in MyAcademicId? (Machen die da überhaupt mit als Nicht-EU-Land?)+  * Integration von Swiss edu-ID in MyAcademicId? (Machen die da überhaupt mit als Nicht-EU-Land?)
     * eduGAIN ja, European Student Card nein, MyAcademicID nein     * eduGAIN ja, European Student Card nein, MyAcademicID nein
     * "Die andere Studierendenkarte" inklusive Schweiz und Finnland: https://www.isic.ch       * "Die andere Studierendenkarte" inklusive Schweiz und Finnland: https://www.isic.ch  
-  * Integration emrex / European Student Id in Swiss eduID+  * Integration emrex / European Student Id in Swiss edu-ID
     * European Student ID für Schweiz nicht anwendbar     * European Student ID für Schweiz nicht anwendbar
     * emrex noch keinen Kontakt      * emrex noch keinen Kontakt 
Zeile 101: Zeile 101:
     * Nichts     * Nichts
     * Naja fast... (--> Extended Attribute Model)     * Naja fast... (--> Extended Attribute Model)
-    * EntityID, Endpoints und Filterregeln des Heimatorganisations-IdP wird von eduID IdP übernommen.+    * EntityID, Endpoints und Filterregeln des Heimatorganisations-IdP wird von edu-ID IdP übernommen.
     * Lokale Attribute sollen in Resource Registry dokumentiert werden und können dann direkt auf zentralen IdP übernommen werden.     * Lokale Attribute sollen in Resource Registry dokumentiert werden und können dann direkt auf zentralen IdP übernommen werden.
     * In Fällen wo umfangreiche Anpassungen vorgenommen wurden wird empfohlen, weiter das interne Konto zu verwenden.     * In Fällen wo umfangreiche Anpassungen vorgenommen wurden wird empfohlen, weiter das interne Konto zu verwenden.
Zeile 109: Zeile 109:
     * Identitäten bleiben bestehen     * Identitäten bleiben bestehen
     * Anschreiben der Kontoinhaber, ohne Reaktion erst Deaktivieren, dann "Löschen"     * Anschreiben der Kontoinhaber, ohne Reaktion erst Deaktivieren, dann "Löschen"
-    * Identitätsmerkmale (EMail, Handynummer) bleiben bestehen+    * Identitätsmerkmale (E-Mail, Handynummer) bleiben bestehen
     * Sonstige Kerndaten werden gelöscht     * Sonstige Kerndaten werden gelöscht
-    * Nach Inaktivität von einem Jahr wird gesperrt (bedingt durch Nationallizenzen), Nutzer wird angeschrieben ob er sich nicht mal wieder einloggen will. Danach beim Nichtreaktion auf inaktiv setzen, aber bisher nicht löschen.[[Fragen an SWITCH]]+    * Nach Inaktivität von einem Jahr wird gesperrt (bedingt durch Nationallizenzen), Nutzer wird angeschrieben ob er sich nicht mal wieder einloggen will. Danach beim Nichtreaktion auf inaktiv setzen, aber bisher nicht löschen.
     * Löschfrist nicht zu kurz wählen (mind. 10 Jahre)     * Löschfrist nicht zu kurz wählen (mind. 10 Jahre)
-    
   * Supportaufwand?   * Supportaufwand?
-    * Derzeit 150.000 Konten rein eduID und eine einzelne Person ist mit dem Support nicht voll ausgelastet. +    * Derzeit 150.000 Konten rein edu-ID und eine einzelne Person ist mit dem Support nicht voll ausgelastet. 
- +  *  Sonstiges
-  * Sonstiges+
     * Zweckbindung: Lebenslanges Lernen     * Zweckbindung: Lebenslanges Lernen
     * Nochmals der Wunsch nach bilateralen Zusammenarbeiten     * Nochmals der Wunsch nach bilateralen Zusammenarbeiten
  • Zuletzt geändert: vor 4 Jahren